Botnet P.1: Tổng quan về botnet

I - Botnet là gì ?

Trong tất cả các tài liệu tôi đọc được thì tôi nhận được định nghĩa về botnet như sau:

“Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ xa. Các máy tính trong mạng botnet là các máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng botnet có thể lên đến hàng trăm hàng triệu máy tính.”

Tôi có thắc mắc một điều là một malware cũng nhận lệnh điều khiển từ hacker và có thể điều khiển từ xa thì có được gọi là botnet không ? Câu hỏi này tôi xin để lại đây và nhận được các ý kiến bình luận.

II - Mục đích của Botnet

Mục đích của Botnet thì có vô vàn mục đích:

• Tấn công DDOS là món ưa thích của các mạng botnet
• Spam email cũng là một trong các món chính của botnet cũng là công cụ kiếm tiền ưa thích của các bot master. Chắc có các bạn nghĩ là Spam mail thì ai mua dịch vụ đó ? Mới đầu tôi cũng nghĩ như bạn nhưng tôi có dạo quanh các nhóm của các doanh nghiệp vừa và nhỏ họ vẫn muốn thuê dịch vụ đó nhiều lắm :3
• Tạo ra các traffic giả hoặc click vào một dịch vụ nào đó mà người chủ dịch vụ đó cần tăng lượng traffic lên.
• Gần đây, các mạng botnet còn được dùng để đào bitcoin. Ví như có 1 mạng cả 10tr botnet thì sao nhỉ ? :)
• Phát tán để mở rộng thêm mạng botnet nữa chẳng hạn.
• Lấy cắp dữ liệu cũng không phải là một ngoại lệ

III - Botnet được điều khiển như nào ?

Cách hoạt động của Botnet khá đơn giản gồm 4 bước sau:

• Bước 1: Initial formation

Cũng như bao malware khác, ở phase này chỉ đơn giản là botmaster expploit các lỗ hổng của hệ thống mục tiêu và thực thi các đoạn mã độc để máy nạn nhân thành botnet. Còn làm sao để thực thi các đoạn mã độc thì đơn giản thôi fishing hoặc tấn công vào lỗ hổng nào đó như việc tán gái thì phải lừa nó đầu tiên vậy. Thật dễ phải không ? :))) Nói thế thôi chứ làm gì có gì đơn giản khi không biết gì :v

• Bước 2: C&C

Khi đã thực thi được mã độc vào máy nạn nhân thì botnet bắt đầu gửi tín hiệu đến C&C Server (Control and Command Server) để nhận lệnh thực thi việc gì tiếp theo.

• Attack:

Kết nối xong rồi thì gửi yêu cầu đến botmaster để bắt đầu các hành vi độc hại.

• Post Attack:

Cập nhật script để chống lại sự phát hiện của các IDS.

IV - Các loại Botnet

Botnet được phân loại theo cách thức liên hệ với C&C Server. Do đó, có 5 loại botnet chính sau:

• IRC Botnet
• P2P Botnet
• HTTP Botnet
• Mobile Botnet
• SMS based
• Bluetooth based
• Botnet Cloud

1. IRC Botnet

IRC là một giao thức thường được dùng trong việc chat. Như chúng ta hay chat trên facebook tthifIRC Botnet cũng vậy. Bot master ra lệnh cho các bot của mình thông qua 1 channel chat (giống như việc chat nhóm vậy).

Mô hình của IRC Botnet

1. P2P Botnet

Khác với IRC Botnet, mô hình của P2P sẽ là mô hình phân tán vì các kết nối của các bot với C&C là các kết nối P2P - kết nối ngang hàng. Với mô hình này, rất khó để shut-down vì ở mô hình phân tán sẽ không còn client-server mà mỗi bot để là một client và cũng đều là một server.

Bot master share command fiel với search key đến mỗi bot trong mạng P2P botnet. Các bot sẽ nhận lệnh bằng việc liên lạc với nhau và nhận lệnh với các search key tương ứng.

b.HTTP Botnet

Mô hình của HTTP Botnet cũng là mô hình tập trung client-server như IRC Botnet nhưng thay vì nhận lệnh thông qua kênh chat thì HTTP Botnet sẽ sử dụng giao thức HTTP để gửi request và nhận lệnh từ các bot đến Bot master. Như vậy, HTTP Botnet không thể nhận lệnh realtime như P2P Botnet được mà sẽ gửi request liên tục hoặc qua x thời gian nào đó để cập nhật tình hình.

c.Botnet Cloud

Botmaster sử dụng cách dịch vụ cloud. Với Botnet loại này rất khó để nhận diện vì nó sử dụng các dịch vụ cloud với tính năng bảo mật cao và có sẵn. Ví dụ như sử dụng dịch vụ của Google chẳng hạn.

Cùng với sự phát triển của các dịch vụ cloud thì việc deploy một kiến trúc để thực thi botnet nhanh hơn rất nhiều so với botnet truyền thống chưa kể việc nó luôn luôn online, sẵn sàng thực thi các hành động.

2. Mobile Botnet

a. SMS Based

Cùng với sự phát triển nhanh chóng của công nghệ và sự bùng nổ các thiết bị smart (có gắn CPU) nhất là smart phone. Botnet đã có một biến thể mới, lợi dụng dịch vụ SMS trên các smart phone và các thiết bị di động khác để gửi, nhận lệnh.

b. Bluetooth based

là loại botnet sử dụng giao thức Bluetooth để thực hiện các hành vi độc hại. Nhưng loại botnet này có điểm yếu là khi đi ra ngoài vùng phủ sóng của Bluetooth thì không thể hoạt động được.

3. Hybrid Botnet

Hybrid Botnet là sự kết hợp của IRC Botnet, P2P Botnet và HTTP Botnet

#Note: Bởi vì bài này mình viết bằng word coppy nên đây bị lỗi format nhiều. Nếu các bạn quan tâm có thể đọc bản đầy đủ và format ở đây:

Botnet #1: Tổng quan về botnet – UBRAIN

ducthang1996.wordpress.com

1. Tài liệu tham khảo

• http://genk.vn/may-tinh/tim-hieu-ve-mang-botnet-cong-cu-kiem-tien-cua-hacker-20140308223710476.chn
• Categories of Botnet: A Survey, D. Seenivasan, K. Shanthi